Chinaunix

标题: windows2003被人入侵，日志被清除 [打印本页]

作者: shmily1819 时间: 2009-06-11 09:07
标题: windows2003被人入侵，日志被清除
我windows2003被人入侵，用antivir服務器版能掃除病毒，可第二天又發現有帳號建立，有時候日志也被毀掉，很多服務被停。各位gg有什么好的對策嗎？跪求9 @^+ a$ a- g1 p% x$ O

好像有個壓縮包老是解壓，可我又找不到那個壓縮包在哪里？

; e% }/ M\' |3 w6 _4 s2 e, To各位gg有什么好的對策嗎？跪求

作者: xifenfei521 时间: 2009-06-11 09:07
面对入侵后被植入木马或者病毒,最有效的不是用防毒软件进行清除,而是需要先想办法使得破坏分子无法连接你的服务器\"3 M. K: y: ]& AF

+ F3 Y% X7 T- @4 E1 W2 F

建议用防火墙或者ACL来严格控制你的机器上的开放端口,高危端口一律封闭掉先.! k\" `; K: C5 b\' S

只开放必要的几个端口.5 U0 o& u; L3 \\* U) y2 L

t\' J% q8 W$ P; ?% F* v( \"8 o此外,账号的安全性也要考虑,破坏者有权限建立账号说明已经取得了管理员权限,你需要彻查一遍,该改密码的改密码,该停用的停用.

: ?; n2 Q2 S. E0 n特别要注意的是看看有没有影子账户或者隐藏账户

作者: chenxian123 时间: 2009-06-11 09:08
影子账户或者隐藏账户怎么刪除

6 |9 s; x\' r) W$ N6 p, ^我每次刪除后，它又自動生成了

作者: fhlxniat 时间: 2009-06-11 09:09
LOCAL MACHING\\\\SOFTWARE\\\\MICROSOFT\\\\WINDOWS NT\\\\CURRENT VERSION\\\\WINLOGON\\\\SPECIALACCOUNTS\\\\userlist 里面应该能看到所有用户的Z( J2 f2 T# U# T1 \\\' g! n

. u& T% T/ R9 N! J/ g2 o

我认为你应该先关闭远程桌面、Telnet、远程注册表、IPC共享

) e& P$ K9 f6 Y1 }1 j2 B3 Z4 C/ _& Y: X$ Y

检查开放的端口、进程、启动项防止有木马插入如果有陌生端口或者进程最好Google一下

作者: njnu001 时间: 2009-06-11 09:09
肯定留了后门自己仔细查下不行先断了外网的连接

作者: LZ789877 时间: 2009-06-11 09:10
感觉这位仁兄的意见不错

作者: xingyunts 时间: 2009-06-11 09:11
找个服务器装个类似gfi eventlog的软件，把那台服务器的日志收集到别处。然后看看入侵你服务器的人什么时候登陆的，IP多少。

作者: xllsky 时间: 2009-06-11 09:12
- t. Y7 z, b. @! `4 K. O8 a

4 e2 i- m8 G4 m1 e! \"

即使看到基本上也意义不大,现在的入侵者都是找几层跳板或者网吧里搞事的,所以你得到IP知道哪个省份意义都不大.并且如果公司损失不大的话报警也不是很有效果.- f2 {* I4 V9 O0 a1 @

+ D9 ?& P- N# W9 e5 B

还是照上面几位的观点彻查后门吧,呵呵

作者: 大呀 时间: 2009-06-11 09:13
我這邊用的是硬體防火墻，我只開了郵件和上網的端口，今天看系統更慘，兩臺服務器的ad復寫沖突，而且新電腦加不了域了* ]+ V) X& r/ j: z* e$ q

Active Directory 在套用複寫的變更到下列物件時，發生寫入衝突。 2 C1 E: w3 `/ d

寫入衝突可能是因為對相同物件的同時變更，或是對其他物件其擁有參照這個物件的屬性的同時變更所造成。這通常發生在當物件代表包含許多成員的大群體，且樹系的功能等級設定為 Windows 2000 時。這個衝突會觸發其他的更新嘗試。如果系統顯得很慢，可能是因為正在複寫這些變更。

作者: licong721119 时间: 2009-06-11 09:13
應用程式特定權限設定無法將含有 CLSID

4 y0 @% r1 d1 K9 o5 u, b& |{9DA0E106-86CE-11D1-8699-00C04FB98036}

0 ^\" d# }/ |4 N+ B3 x 的 COM 伺服器應用程式的本機啟動權限授予使用者 NT AUTHORITY\\SYSTEM SID (S-1-5-18)。您可以使用元件服務系統管理工具修改安全設定權限。

* M! m) b. g0 @- m5 a7 z5 _) C/ W

2 }% `) @\" v: q0 i. L+ L/ F

安全性系統偵測出伺服器 LDAP/***** 的驗證錯誤。來自驗證通訊協定 Kerberos 的失敗碼為 \"目前無可用的登入伺服器，無法對登入請求進行服務。) K2 Q1 c4 a9 [\' F9 g. `3 Q8 O\' {) J

(0xc000005e)\"。6 l6 O: P+ E5 \\( o\" o

安全性系統偵測出伺服器 LDAP/Localhost 的驗證錯誤。來自驗證通訊協定 Kerberos 的失敗碼為 \"目前無可用的登入伺服器，無法對登入請求進行服務。7 y8 Y0 I\" d8 F3 A) p) r0 G

(0xc000005e)\"。\' G/ B) m4 b# w$ ?+ Q/ s$ ^$ E

安全性系統偵測出伺服器 ldap/****** 的驗證錯誤。來自驗證通訊協定 Kerberos 的失敗碼為 \"目前無可用的登入伺服器，無法對登入請求進行服務。

F) H& s$ K@8 C (0xc000005e)\"。

- A6 Y& w% h, t! z安全性系統偵測出伺服器 ldap/127.0.0.1 的驗證錯誤。來自驗證通訊協定 Kerberos 的失敗碼為 \"目前無可用的登入伺服器，無法對登入請求進行服務。

& k; a3 |- [. s: x6 T. X (0xc000005e)\"。/ w( K/ i3 c6 X6 c& v. z: i) d+ l

安全性系統偵測出伺服器 ldap/******.*******.com 的驗證錯誤。來自驗證通訊協定 Kerberos 的失敗碼為 \"目前無可用的登入伺服器，無法對登入請求進行服務。3 w2 ]$ D/ ^\" Z\" U; K. J

(0xc000005e)\"。

作者: heidefengbao 时间: 2009-06-11 09:13
楼主你的好厉害啊，看来你们的安防措施很烂啊。尽快解决吧

作者: 蜘蛛宝贝 时间: 2009-06-11 09:14
这么厉害！也不知是“何方神圣”，净干这些损人利己的事。

作者: amstrong 时间: 2009-06-11 09:15
走走，停停，看看，学学！！我新手，学习了！！

作者: leikktmeii 时间: 2009-06-11 09:16
看了几位老大的留言，学习了

作者: 4056924 时间: 2009-06-11 09:16
注意分析整个流程

! J2 A3 z/ s5 a3 R, A3 B不要着急

8 P2 X1 O$ KO) V感觉沙发处的大哥说的很对2 M* p- K) K* T4 p& x\" e, i

要是你是黑客的话，你想入侵一台服务器你要做的是什么

& {: a$ z7 p. G8 [6 t+ ]( `& q扫描--漏洞--肉鸡--权限--隐藏特权账户--安马--清楚日志

作者: chuj520 时间: 2009-06-11 09:17
来学习！！！需要看看有没有可疑进程！不懂得的GOOGLE

作者: fhlxniat 时间: 2009-06-11 09:17
遇到黑客还是很恐怖的

作者: 天一的眼泪 时间: 2009-06-11 09:18
报务器是那么好进吗？楼主。。。。

作者: windenver 时间: 2009-06-11 09:19
其实最有效的方法就是你的注册表啊!如果你的注册表的权限很严格的话,那你这些问题就不会产生啊!

* X) A. ?# \"7 z 多看看注册表的各个用处啊!这是总有用的啊

作者: ioriardy 时间: 2009-06-11 09:21
可以先把外网的线拔掉么？这样来排除外网因素。

s# p7 B& W. s7 e\" r0 O4 r\" {& d) ?) A

你既然AD都出问题了就先修复AD% Mr7 U) I+ g( `. A

/ ^\' \\- l# v4 M\' h& x4 v+ H. t/ G9 p0 a有备份先恢复备份、没有的话应先尝试修复AD

作者: nigelwaterlee 时间: 2009-06-11 09:21
确实漏洞不少啊！！

7 R, Z! v! d( U真要好好的安全防护一下！

作者: zyzhr 时间: 2009-06-11 09:22
我再补充一下，清查一下运行的服务和进程，服务器上补丁查一下是否安装齐全。

! y6 y6 q% ]\" q最后用一些autoruns等防黑工具查一下。

作者: tangty 时间: 2009-06-11 09:23
沙发大哥技术好利害\"!学习了

作者: ewangch 时间: 2009-06-11 09:25
这问题还从来没有遇到过，应该先断开外网，然后检查端口，防火墙策略一定要设好。

作者: duyaqi1989 时间: 2009-06-11 09:25
如果条件允许的话，备份数据库等重要资料，重装服务器系统吧，那个最干净，也最彻底，呵呵，感觉自己都有点灌水的嫌疑了

作者: xcvrag 时间: 2009-06-11 09:25
抓包分析一下嘛。。。。。

作者: 2151111 时间: 2009-06-11 09:26
看了几位老大的留言，学习了

作者: saturndl 时间: 2009-06-11 09:27
第一:首先断开网络（拔下网线）7 v% }! |; `/ {: s; h! r

第二:不知道你得Windows Server 2003是做什么用的（WEB还是Database？）如果是Web的话就先查找你得网站程序是不是存在漏洞或者黑客以前入侵你的站点留下了后门。（例如：SQL、上传、暴库、跨站、等）如果是别用那先查找应用程序是不是存在漏洞。

\' O/ G6 I3 T; d2 o$ x& ^5 I第三:开始运行—Services.msc—禁用一些有安全风险的服务（例如:Remote Desktop 等）

* w4 |: N6 ^& H1 ^( b第四:如果你电脑上有防火前的话你可以配置下防火墙的策略来禁止某些敏感端口（如 135 138 139 445等）

作者: 孑然一生 时间: 2009-06-11 09:28
以后要经常来逛逛了，收获了

作者: leikktmeii 时间: 2009-06-11 09:28
影子账户，域好像没有吧。

作者: qiuyong1986 时间: 2009-06-11 09:30
看来高手确实很多哦,学习了.

作者: 860912zh 时间: 2009-06-11 09:30
先学习一下，谢谢！！！！！

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)